【正文】 20 x 300 x 30,000 x 4,000 = 720,000,000,000檢測準(zhǔn)確性：傳統(tǒng)的模式匹配只能檢測特定類型的攻擊。下面給出一個例子可以很高的說明其工作原理。5〕 直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結(jié)束6〕 對于每一個攻擊特征，重復(fù)2〕開始的比較。單純的模式匹配方法的工作過程如下：1〕 分析網(wǎng)絡(luò)上的每一個數(shù)據(jù)包是否具有某種攻擊特征。他的分析速度快、誤報率小等優(yōu)點是其它分析方法不可比擬的。他的功能基本上相當(dāng)于一個完整的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。第三章 網(wǎng)絡(luò)引擎和主機代理 網(wǎng)絡(luò)引擎的設(shè)計網(wǎng)絡(luò)引擎通過分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信息。缺點：必須購買額外的設(shè)備(Tap)；若所保護(hù)的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。3．采用分接器（Tap），將其接在所有要監(jiān)測的線路上。優(yōu)點：可得到幾乎所有關(guān)鍵數(shù)據(jù)。缺點：采用此端口會降低交換機性能。如果交換機廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。由于交換機不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個sniffer來監(jiān)聽整個子網(wǎng)的辦法不再可行。有必要被檢測器配置兩塊接口卡，一塊連接到網(wǎng)絡(luò)跨接端口用于監(jiān)聽混雜模式（監(jiān)聽所有數(shù)據(jù)包，不管它們是否是發(fā)給檢測器）的，另一塊連接到單獨VLAN用來與分析工作站進(jìn)行通信。TCP是雙向協(xié)議，分析員必須確保計策器能從對話雙方接收信息。檢測器可以工作在這種環(huán)境中，但如果交換機的跨接端口沒有正確設(shè)置，入侵檢測將無法進(jìn)行工作。關(guān)于檢測器放置的最后一個問題就是它與誰連接。4. 檢測器的其他位置檢測器最通常的位置在防火墻外，但這當(dāng)然不是唯一一個對機構(gòu)有利的擺放位置。l 你可以檢測到由于設(shè)置有問題而無法通過防火墻的內(nèi)部系統(tǒng)，這可以幫助系統(tǒng)管理員。如果你的機構(gòu)有足夠的經(jīng)費這么做，會有如下優(yōu)點：l 你無須猜測是否有攻擊滲透過防火墻。它們可不僅僅是個口號。設(shè)置良好的防火墻確實阻止了大部分低層次的攻擊，人們也確實把太多的注意力放在檢測和分析這些低層次的攻擊上了。如果本應(yīng)該被防火墻封鎖的攻擊滲透近來，檢測器在防火墻內(nèi)檢測到或就能發(fā)現(xiàn)防火墻的設(shè)置失誤。這樣做對站點的好處就是：可以看到自己的站點和防火墻暴露在多少種攻擊之下。因為許多攻擊類型只能通過檢測是否與字符串特征一致才能被發(fā)現(xiàn)，而字符串的傳送只有在TCP 3次握手才能進(jìn)行。DMZ 是介于ISP和最外端防火墻界面之間的區(qū)域。一般說來檢測器放在防火墻附近比較好?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)需要有檢測器才能工作。在大型網(wǎng)絡(luò)中，分析系統(tǒng)工作負(fù)載大、存儲系統(tǒng)工作量也大，所以應(yīng)該分布在不同的計算機上。用戶可以提供控制臺配置系統(tǒng)中的各個部件，也通過控制臺了解各部件的運行情況。也可以采取主動的反擊策略，對攻擊者進(jìn)行如DOS攻擊等，但這種以毒攻毒的方法在法律上是不許可的。響應(yīng)包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。各種分析方法都有各自的優(yōu)勢和不足，因此，系統(tǒng)中分析方法應(yīng)該是可以動態(tài)更換，并且多種算法可以并存的。同時負(fù)責(zé)分布式攻擊進(jìn)行檢測。 分析系統(tǒng)是對事件發(fā)生器捕獲的原始信息、其他入侵檢測系統(tǒng)提供的可疑信息進(jìn)行統(tǒng)一分析和和處理的系統(tǒng)。存儲系統(tǒng)也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。 存儲系統(tǒng)的作用是用來存貯事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。主機代理在所在主機以各種方法收集信息，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調(diào)用、分析該主機的網(wǎng)絡(luò)通信等。 網(wǎng)絡(luò)引擎和主機代理屬于CIDF中的事件產(chǎn)生器（Event generators）。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進(jìn)行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機上，也給系統(tǒng)提供了一個擴展的接口。在部署時，這些部件可能在同一臺計算機上，也可以各自分布在一個大型網(wǎng)絡(luò)的不同地點。 系統(tǒng)概述 ODIDS系統(tǒng)是基于部件的分布式入侵檢測系統(tǒng)。有效性要求：能夠證明根據(jù)某一設(shè)計所建立的入侵檢測系統(tǒng)是切實有效的。并且入侵檢測系統(tǒng)應(yīng)該在設(shè)計和實現(xiàn)中，因該能夠有針對性的考慮幾種可以預(yù)見的，對應(yīng)于該入侵檢測系統(tǒng)的類型與工作原理的攻擊威脅，及其相應(yīng)的抵御方法。適應(yīng)性也包括入侵檢測系統(tǒng)本身對其宿主平臺的適應(yīng)性，即：跨平臺工作的能力，適應(yīng)其宿主平臺軟、硬件配置的各種不同情況。并且在入侵檢測系統(tǒng)的整體功能設(shè)計上，也必須建立一種可以擴展的結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴展要求。所以必須建立一種機制，把入侵檢測系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開。實時入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng)日志進(jìn)行審計以查找入侵者或入侵行為線索時的種種不便與技術(shù)上的限制。結(jié)構(gòu)存在問題：現(xiàn)在的很多入侵檢測系統(tǒng)是從原來的基于網(wǎng)絡(luò)或基于主機的入侵檢測系統(tǒng)不斷改進(jìn)而得來的，在體系結(jié)構(gòu)等方面不能滿足分布、開放等要求。但入侵檢測系統(tǒng)不能很好的和其他安全產(chǎn)品協(xié)作。不同的入侵檢測系統(tǒng)之間不能互操作：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)不同的部分可能使用了不同的入侵檢測系統(tǒng)，但現(xiàn)在的入侵檢測系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。另外，基于模式匹配和基于統(tǒng)計的分析方法各有所長，入侵檢測系統(tǒng)的發(fā)展趨勢是在同一個系統(tǒng)中同時使用不同的分析方法。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求。攻擊特征庫的更新不及時：絕大多數(shù)的入侵檢測系統(tǒng)都是適用模式匹配的分析方法，這要求攻擊特征庫的特征值應(yīng)該是最新的?，F(xiàn)有的入侵檢測系統(tǒng)在10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時可以很好地工作。第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。CIDF標(biāo)準(zhǔn)還沒有正式確立，也沒有一個入侵檢測商業(yè)產(chǎn)品完全所用該標(biāo)準(zhǔn),但因為入侵檢測系統(tǒng)的特殊性，其實各種入侵檢測系統(tǒng)的模型都有很大的相似性。在現(xiàn)有的入侵檢測系統(tǒng)中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和響應(yīng)部分來分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元這些術(shù)語。響應(yīng)單元則是對分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應(yīng),甚至發(fā)動對攻擊者的反擊，也可以只是簡單的報警。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。它將一個入侵檢測系統(tǒng)分為以下組件：l 事件產(chǎn)生器（Event generators）l 事件分析器（Event analyzersl 響應(yīng)單元（Response units ）l 事件數(shù)據(jù)庫（Event databases ）CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）,它可以是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)中網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是基于主機的入侵檢測系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息。如果條件允許，兩者結(jié)合的檢測會達(dá)到更好的效果。對于已知得攻擊，它可以詳細(xì)、準(zhǔn)確的報告報告出攻擊類型，但是對未知攻擊卻效果有限，而且入侵模式庫必須不斷更新?；谀Ｊ狡ヅ涞臋z測技術(shù)和基于異常發(fā)現(xiàn)的檢測技術(shù)，所得出的結(jié)論有非常大的差異。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。實現(xiàn)一個基于規(guī)則的專家系統(tǒng)是一個知識工程問題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴充和修正。例如，在數(shù)分鐘之內(nèi)某個用戶連續(xù)進(jìn)行登錄，且失敗超過三次就可以被認(rèn)為是一種攻擊行為。由此專家系統(tǒng)自動進(jìn)行對所涉及的攻擊操作的分析工作。神經(jīng)網(wǎng)絡(luò)可能用于解決傳統(tǒng)的統(tǒng)計分析技術(shù)所面臨的以下幾個問題：　●難于建立確切的統(tǒng)計分布　●難于實現(xiàn)方法的普適性　●算法實現(xiàn)比較昂貴　●系統(tǒng)臃腫難于剪裁目前，神經(jīng)網(wǎng)絡(luò)技術(shù)提出了對基于傳統(tǒng)統(tǒng)計技術(shù)的攻擊檢測方法的改進(jìn)方向，但尚不十分成熟，所以傳統(tǒng)的統(tǒng)計方法仍將繼續(xù)發(fā)揮作用，也仍然能為發(fā)現(xiàn)用戶的異常行為提供相當(dāng)有參考價值的信息。錯發(fā)的警報往往來自于對審計數(shù)據(jù)的統(tǒng)計算法所基于的不準(zhǔn)確或不貼切的假設(shè)。這種辦法同樣適用于檢測程序的行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。能夠判斷使用行為的合法或可疑。審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計模型進(jìn)行監(jiān)測，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測該用戶的行為。按照所使用的分析方法，可以分為以下幾種入侵檢測系統(tǒng)：1． 基于審計的攻擊檢測基于審計信息的攻擊檢測工具以及自動分析工具可以向系統(tǒng)安全管理員報告計算機系統(tǒng)活動的評估報告，通常是脫機的、滯后的。而基于異常發(fā)現(xiàn)的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的閥值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。檢測主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫中出現(xiàn)。從技術(shù)上，入侵檢測分為兩類：一種基于模式匹配（signaturebased）的入侵檢測系統(tǒng)，另一種基于異常發(fā)現(xiàn)(anomalybased)的入侵檢測系統(tǒng)。相信未來的集成化的入侵檢測產(chǎn)品不僅功能更加強大，而且部署和使用上也更加靈活方便。在這方面，基于主機的入侵檢測系統(tǒng)對基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是一個很好的補充，人們完全可以使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)提供早期報警，而使用基于主機的入侵檢測系統(tǒng)來驗證攻擊是否取得成功。聯(lián)合使用基于主機和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測效果。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以研究負(fù)載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的入侵檢測系統(tǒng)迅速識別?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通過檢查所有的數(shù)據(jù)包的包頭（header）來進(jìn)行檢測，而基于主機的入侵檢測系統(tǒng)并不查看包首標(biāo)。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。l 占資源少 在被保護(hù)的設(shè)備上不用占用任何資源。l 操作系統(tǒng)無關(guān)性 基于網(wǎng)絡(luò)的IDS作為安全監(jiān)測資源，與主機的操作系統(tǒng)無關(guān)。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法，而且還包括可識別黑客身份和對其進(jìn)行起訴的信息。l 攻擊者不易轉(zhuǎn)移證據(jù) 基于網(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通訊進(jìn)行實時攻擊的檢測。相反地，如果基于主機，則在每個主機上都需要一個代理，這樣的話，花費昂貴，而且難于管理。l 視野更寬 基于網(wǎng)絡(luò)的入侵檢測甚至可以在網(wǎng)絡(luò)的邊緣上，即攻擊者還沒能接入網(wǎng)絡(luò)時就被發(fā)現(xiàn)并制止。基于網(wǎng)絡(luò)的監(jiān)視器不運行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計算機。而大多數(shù)基于主機的產(chǎn)品則要依靠對最近幾分鐘內(nèi)審計記錄的分析。實際上，許多客戶在最初使用IDS時，都配置了基于網(wǎng)絡(luò)的入侵檢測。反應(yīng)因產(chǎn)品而異，但通常都包括通知管理員、中斷連接并且/或為法庭分析和證據(jù)收集而做的會話記錄。基于網(wǎng)絡(luò)的IDS通常利用一個運行在隨機模式下網(wǎng)絡(luò)的適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。當(dāng)操作系統(tǒng)及基于主機的系統(tǒng)發(fā)現(xiàn)即將到來的業(yè)務(wù)時，數(shù)據(jù)流已經(jīng)被解密了l 確定攻擊是否成功 由于基于主機的IDS使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。根據(jù)加密方式在協(xié)議堆棧中的位置的不同，基于網(wǎng)絡(luò)的系統(tǒng)可能對某些攻擊沒有反應(yīng)?；谥鳈C的入侵檢測系統(tǒng)可安裝在所需的重要主機上，在交換的環(huán)境中具有更高的能見度。所以從覆蓋足夠大的網(wǎng)絡(luò)范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡(luò)的IDS的最佳位置。 l 適用于被加密的以及切換的環(huán)境 由于基于主機的系統(tǒng)安裝在遍布企業(yè)的各種主機上，它們比基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)更加適于交換的以及加密的環(huán)境。因為它們不需要在網(wǎng)絡(luò)上另外安裝登記、維護(hù)及管理的硬件設(shè)備?；谥鳈C的入侵檢測系統(tǒng)存在于現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)之中，包括文件服務(wù)器、Web服務(wù)器及其它共享資源。l 易于用戶剪裁 每一個主機有其自己的代理，當(dāng)然用戶剪裁更方便了。而基于網(wǎng)絡(luò)的系統(tǒng)有時會檢測不到這些行為。最后，基于主機的系統(tǒng)可以監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的更改。一旦發(fā)生了更改，基于主機的IDS就能檢測到這種不適當(dāng)?shù)母??；谥鳈C技術(shù)還可監(jiān)視通常只有管理員才能實施的非正常行為。例如，基于主機的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況。l 更加細(xì)膩 這種方法可以很容易地監(jiān)測一些活動，如對敏感文件、目錄、程序或端口的存取，而這些活動很難在基于網(wǎng)絡(luò)的系統(tǒng)中被發(fā)現(xiàn)。盡管基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)能很容易地提供廣泛覆蓋，但其價格通常是昂貴的。盡管基于主機的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點。最后，許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，是通過定期檢查校驗和來進(jìn)行的，以便發(fā)現(xiàn)意外的變化。如果匹配，系統(tǒng)就會向管理員報警并向別的目標(biāo)報告，以采取措施。通常，基于主機的IDS可監(jiān)測系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄?，F(xiàn)在的基于主機的入侵檢測系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊。在這一較為簡單的環(huán)境里，檢查可疑行為的檢驗記錄是很常見的操作。 入侵檢測系統(tǒng)的分類按獲得原始數(shù)據(jù)的方法可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測系統(tǒng)。 入侵檢測系統(tǒng)入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補丁、進(jìn)行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。圖1－1 P2DR模型P2DR模型包含4個主要部分：Policy（安全策略）Protection（防護(hù)）Detection（檢測）Response（響應(yīng)）P2DR模型是在整體的安全策略（Policy）的控制和指導(dǎo)下，在綜合運用防護(hù)工具（Protection，如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）的同時，利用檢測工具（Detection，如漏洞評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻?